2014-04-27 - Landscape

BlackHat-TDS (v1.4)




Infection schemes often implicate TDS (Traffic Direction System - See read more at the end if you don't know what is that). A lot of groups are using custom tools, but when they are not, they are using tools like SimpleTDS (old...but we can still see it here and there) Sutra , Keitaro....

In middle of December XShaman started to advertised a new one : BlackHat-TDS a remake of Ninja TDS

BlackHat-TDS advertised on underground by XShaman
2013-12-11

XShaman is the father of many tools from "Shamans Dream Exploit Kit", Antibot Guard System :

Antibot Guard System v1.0  in front of a Sakura 2013-09
More image here
FakeMaker :

FakeMaker



Traffic Shop Analyser :
Traffic Shop Analyser -2012-09
More image here
or NinjaTDS

Text of the Advert :
------------------------------------------
Я рад представить уважаемому сообществу, новый проект BlackHat-TDS.
К созданию софта, меня сподвигли многочисленные просьбы об универсальной
ТДС для применения в сером бизе(блэк-сео, слив с ломанных ресурсов и т.д.).
Софт вобрал в себя наиболее эффективные(но не все) методики из Ninja-TDS.
Основу подхода, как и прежде, составляют - хитрые алиасы, для защиты домена админки, матричный клоакинг, запись входного трафика в режиме апрува и антибот методики. База тдс на основе SQLite, с загрузкой полностью в память, что , я полагаю увеличит производительность и переносимость.
Функции антибота:
- Запрет кэширования статических страниц, для уменьшения палева в поисковых системах и скриптовых чекерах;
- Определение мобильного трафика и возможность его перенаправления на определенные линки слива
- Блэклист ип , как по диапазону, так и по отдельным ип;
- Блэклист по рефу, юзер-агенту, оси, хосту(lookup IP);
- Блокировка прокси и TOR сетей;
- Блокировка пустого рефа и перенаправление таких пользователей на безопасные ресурсы;
- Хонейпот для поисковых систем не исполняющих правила из robots.txt и
для скриптов , пытающихся сканировать как админку, так и фейки;
- Редирект специфических рефов и поисковых запросов на безопасные линки;
- Создание фейк страниц и последующее редактирование с определенных вами урлов;
- Возможность использования "ручных" фейков;
- Авторские методики определения ботов.

Фукции ТДС:
- Создавать неограниченное количество редиректов
- Указывать кучу стран для редиректа.
- Указывать типы браузера для редиректа.
- Указывать типы ОС для редиректа.
- Вы также можете отматывать траф до заданного числа.
- Вы можете заморозить редирект на некоторое времмя.
- При просмотре статистики вы можете видеть графичекую шкалу статуса редиректа. (%)
- Просмотр статистики по странам.
- Просмотр статистики по браузерам, ОС.
- Просмотр статистики за последние день, сутки, 7 суток, за весь период
- Просмотр статистики по дням.
- Разновидность редиректа (со скрытием и без)
- Пользователи, Создание пользователей.
- Учет посещений
- Общая Статистика по браузерам и версии ОС.
- Общая статистика по странам.
- Учет REFERER
- Тип рефера: header или popup, во втором случае используется JavаScript, который скрывает referer,
таким образом УРЛ тдс узнать невозможно! Но в этом есть и свой минус: попап(Ajax tinybox2).
- Пользователи: Из админки вы можете создавать пользователей и привязать к ним заявки.
Таким образом ваш клиент может зайти и посмотреть статистику по своему трафику.. Очень удобно.
Это экономит ваше время (не нужно делать скрипны и т.д) и клиенту - все он видит на лицо.
- Статистка по дням. Теперь вы можете узнать сколько трафа шло в какой день.
- Поддержка схем. Теперь вы можете расспределить, например адалт лить на одну ссылку,
фарму на другую и среди них распределять согласно опциям.
- Фильтр на язык браузера.
- Запрет повторного редиректа по записи в HTML5 Local Storage.
Цена вопроса 700wmz, контакт через ПМ форума.

------------------------------------------
Translated by google as :
------------------------------------------
I am pleased to introduce the distinguished community , the new project BlackHat-TDS.
By creating software, I spodvigli numerous requests about the universal
TDS for use in gray meringue ( black seo , plums with polygonal resources, etc.) .
Software incorporates the most effective ( but not all) methods of Ninja-TDS.
The basis of the approach , as before, make up - clever aliases to protect the domain admin , cloaking matrix , recording the input traffic in apruva antibot and techniques . Base TDS based on SQLite, boot completely into memory, which I believe will increase the performance and portability.
Options Security Code :
- Prevent caching of static pages to reduce fawn in search engines and scripting checker ;
- Definition of mobile traffic and the possibility of redirecting certain links drain
- Ip blacklist , as the band, and for individual un ;
- Blacklist for refu , user - agent axis host (lookup IP);
- Proxy blocker and TOR networks;
- Lock empty Refah and redirecting users to secure such resources ;
- Honeypot for search engines not to follow the rules of the robots.txt and
scripts , trying to scan as admin and fakes ;
- Redirect specific refs and queries safe links ;
- Creating fake pages and subsequent editing with specific URLs you ;
- Ability to use "manual" fakes ;
- All methods for determining bots .

Fuktsii TDS :
- Create unlimited number of redirections
- Specify a bunch of countries to redirect.
- Specify the types of browser to redirect.
- Specify the types of operating systems for redirect.
- You can also rewind cores to a predetermined number .
- You can redirect to a freeze vremmya .
- When viewing the statistics you can see grafichekuyu scale redirect status . ( %)
- View statistics by country.
- View statistics on browsers , operating systems.
- View Statistics for the last day , day, 7 days , for the entire period
- View statistics by day .
- Variety redirect ( with and without hiding )
- Customers Creating users .
- Accounting visits
- General Statistics on browsers and OS.
- General statistics by country.
- Accounting REFERER
- Referrer type : header or popup, in the second case the JavaScript that hides referer,
thus RLC TDS is impossible to know ! But there is and the minus : popap (Ajax tinybox2).
- Members : From admin you can create users and applications to bind to them .
Thus, your client can come and see statistics about your traffic .. Very convenient.
This saves you time ( no need to do skripny etc) and client - all he sees on the face.
- Statistics in the afternoons. Now you can find out how many cores going on what day .
- Support schemes. Now you can rasspredelit eg adult casting on one link
Pharma to another and distribute among them according to options.
- Filter on the browser language .
- Prohibition of re- entry in the redirect on HTML5 Local Storage.
Issue price 700wmz, contact via PM forum.
------------------------------------------

BlackHat TDS redirecting to Magnitude thread - 2014-04-24
(by the look of the 2nd stage call some may recognize a threat that was pushed in Nuclear several months ago)
Now let's get in (another one) :

BlackHat TDS Login Page
2014-04
BlackHat TDS - Job List
BlackHat TDS - Stats from a Job.
BlackHat TDS - Create a new Scheme

BlackHat TDS - Schemes list
BlackHat TDS - Create a Job
BlackHat TDS - Statistics Month
BlackHat TDS - Month Statistics - selecting one day



BlackHat TDS - Montly Referer
BlackHat TDS - Referer for a Day


BlackHat TDS - Create User
BlackHat TDS - User list

Files: BHTDS_Magnitude_SecondStage_2014-04

Read more :
Using Traffic Direction Systems to simplify fraud...  and complicate investigations! - Maxim Goncharov - Trendmicro for VB2011
Antibot Guard System v.1.0 Experimental - 2013-01-27 -  Jose Dos Santos
Unmasking the Dreaming Shaman - the Shamans Dream exploit kit - 2010-01-02 Perpetual Horizon